Ny epost-orm sprer seg hurtig

Antivirusselskapene advarer nå mot en ny epost-orm som spres i raskt tempo. Ormen, kalt W32/Badtrans.B@mm, minner om Nimda- og Aliz-ormene og benytter seg av et spesielt triks for å starte vedlegget og starte smitten.

Ifølge Norman ASA er det eneste som skal til før ormen starter sine ødeleggelser at du åpner eposten eller forhåndsviser denne i Outlook/Outlook Express.

- Dette er en variant av den kjente Badtrans.A ormen, oppdatert med noen nye triks. Når ormen startes kopierer den seg selv til Windows system katalogen
under navnet KERNEL32.EXE, dette må ikke forveksles med Windows hovdebibliotek KERNEL32.DLL. Ormen installerer en tastaturlogging-funksjonalitet, KDLL.DLL, i systemkatalaogen i Windows, skriver markedsdirektør Bjørn A. Windfeldt i Norman i en epost til digi.no. Ormen benytter seg av et kjent sikkerhetshull "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment", hvilket innebærer at vedlegget startes og videre smitte kan skje bare brukeren åpner eposten eller forhåndsviser denne i Microsofts eposthåndterer Outlook/Outlook Express. Informasjon om sikkerhetshullet og sikkerhetsoppdateringer er tilgjengelig på denne websiden.


W32/Badtrans.B@mm benytter Microsoft Mail API for å spre seg. Vedlegget vil ha dobbel "extension" hvor det første er DOC, MP3 eller ZIP og det andre er PIF eller SCR. Vedleggets navn kan inneholde følgende elementer:

  • Fun
  • Humor
  • docs
  • info
  • Sorry_about_yesterday
  • Me_nude
  • Card
  • SETUP
  • stuff
  • YOU_are_FAT!
  • HAMSTER
  • news_doc
  • New_Napster_Site
  • README
  • images
  • pics
  • S3MSONG, og
  • SEARCHURL

Sikkerhetshullet er et kjent tema med Internet Explorer versjon 5.01 og 5.5 uten Service Pack 2 . Brukere som har denne konfigurasjonen bør derfor laste ned denne sikkerhetsoppdateringen eller slå av funksjonen for Active Scripting. Du kan lese mer om hvordan dette gjøres i Normans Security Information.

Også F-Secure Corporation er på ballen - les mer på denne nettsiden.

Ellers er rådet som det alltid er: Sørg for at du har den sist oppdaterte versjon av det antivirusprogrammet du bruker.
Til toppen